企業の脅威対応力が向上する傾向も油断ならず–マンディアント報告書

今回は「企業の脅威対応力が向上する傾向も油断ならず–マンディアント報告書」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Google Cloudでセキュリティ事業を手がけるMandiantは5月30日、年次報告書の最新版「Mandiant M-Trends 2023」を公開した。組織での侵害発生から検知までの期間が短くなる傾向を示す一方、外部の指摘で侵害が発覚する傾向も見られるという。

　報告書は、独立企業時代から発刊しており、同社の脅威インテリジェンス分析やセキュリティインシデントの対応経験などから、サイバーセキュリティ情勢をメトリクス（指標）の観点などから取りまとめている。2023年版は14回目で、2022年1～12月の情勢を取り上げている。

　まず、組織での侵害発生（初期の侵入）から検知までに要する日数の中央値が、2021年の21日から2022年は16日となり、2017年からの短期化傾向が続いた。外部脅威と内部脅威に分けて見ても減少傾向にある。なお日数の中央値を採用するのは、検知までの期間が極端に長いインデントが1件でもあると平均値では正確性が欠けてしまうためだという。

　この傾向についてグーグル・クラウド・ジャパンでマンディアント プリンシパルコンサルタントを務める杉山貴裕氏は、「米州と欧州・中東地域で減少傾向にあり、組織の検知能力が向上しているといえる」と解説する。

　しかし、組織が侵害を把握するきっかけは、法執行機関など外部からの指摘が63％を占め、2020年の41％から3年連続で増加した。組織が自身で把握（内部検知）したケースは49％から37％に減少している。

　杉山氏は、「基本的に内部検知の方が対応行動を早くすることができるので望ましい。外部からの指摘される割合が増えることは、内部での検知が困難化していると読み取れるが、法執行機関などの監視能力が向上し、セキュリティコミュニティーの精力的な活動によっても侵害を早く検知する環境が整ってきたと見ることができる」と話す。

　近年に企業が重大脅威と捉えるランサムウェアの動向は、同社の調査においてランサムウェアが関連する割合が2021年の23％から2022年は18％に減少した。「特にアジア太平洋地域や欧州中東地域で減少しているが、日々調査している立場では減少傾向をあまり感じられない。減少している明確な理由も見つかっていない」と杉山氏は言う。

　杉山氏が指摘するように、ランサムウェア関連事案のボリューム（量）は減ったが、組織でランサムウェアの侵害が発覚するまでの日数（中央値）は、2021年の5日から2022年は9日に長期化した。また、活動が確認された攻撃者グループの48％が金銭の獲得を目的にしていたとのこと。やはり、ランサムウェア関連事案のボリュームが減少したとはいえ、ランサムウェアの脅威自体が減退したわけではないようだ。

　報告書では、組織の脅威対応能力の向上が見られるだけに、攻撃者の侵入や侵害をできるだけ減らす脆弱（ぜいじゃく）性対策など平時から日々実践すべき基本的な取り組みも大切になる。

　「企業や組織を狙うランサムウェア攻撃なども、最初から特定の標的にピンポイントで攻撃を仕掛けるわけではなく、不特定多数を調べて侵入できると判明したところを標的に定めてからになる。近年の主な侵害要因となっているVPN環境の脆弱性の解消、多要素認証の活用などの取り組みで、まず侵入のリスクをできる限り減らすことが重要になる」（杉山氏）

　この他には、同社が調査した脅威の手法の73％が、サイバー攻撃の戦術や手法を体系化した「MITRE ATT＆CK」（マイターアタック）に分類されるものだった。防御側がMITRE ATT＆CKを理解しておくことで、実際の攻撃の様子などをより適切に把握することに役立つとしている。